El 17 de marzo de 2021, la Asociación de Bancos de México (ABM) anunció que los clientes y usuarios de sus canales digitales deberán proporcionar la geolocalización en tiempo real del dispositivo que utilicen para abrir cuentas, celebrar contratos o realicen operaciones. La medida, establecida bajo el supuesto de la prevención y combate al lavado de dinero y el financiamiento del terrorismo, resulta desproporcionada, innecesaria y plantea riesgos graves para la privacidad y seguridad de las personas usuarias.
El comunicado de la ABM se da en conformidad con una resolución publicada el 22 de marzo de 2019 en el Diario Oficial de la Federación, la cual reforma, adiciona y deroga diversas de las “Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito”. Dicha resolución dio a los bancos un plazo de 24 meses ─cumplido al 23 de marzo de 2021─ para la recolección de la geolocalización de los dispositivos de las personas usuarias.
La localización geográfica es un dato sensible que puede revelar aspectos sumamente íntimos de una persona, como su domicilio o los lugares que frecuenta. La resolución establece una recolección masiva e indiscriminada de estos datos, sin que exista justificación alguna y bajo la presunción de que todas las personas usuarias son sospechosas de ser delincuentes.
En consecuencia, la medida creará bases de datos con la localización geográfica de millones de personas, una situación especialmente grave dado el historial de brechas de seguridad de los bancos nacionales, cuyas bases de datos terminan a la venta en el mercado negro. Estos datos, además, deberán ser conservados por las entidades financieras por “un periodo no menor a diez años”, lo que constituye un plazo desmesurado.
Asimismo, la disposición 54 de las “Disposiciones de carácter general a que se refiere el artículo 115 de la Ley de Instituciones de Crédito” establece que los bancos deberán proporcionar a la Secretaría de Hacienda y Crédito Público (SHCP) “toda la información y documentación que les requiera”, sin que exista de por medio ninguna medida de control o autorización judicial. De nuevo, esto plantea serias dudas en consideración con la frecuente colusión de las autoridades mexicanas con el crimen organizado.
Además de ser desproporcionada, la recolección de la geolocalización no resulta eficaz para los fines que persigue. Como algunos expertos en seguridad han recomendado públicamente, la geolocalización del dispositivo puede ser alterada mediante modificadores de GPS, lo que inutiliza la medida.
Finalmente, al obligar a los bancos a recabar la geolocalización de los dispositivos para proporcionar sus servicios de forma no presencial, se condiciona el uso de la banca en línea a la entrega de datos sin que exista una alternativa real para las personas usuarias. Esta medida es incomprensible en un contexto de pandemia, cuando tanta gente depende del uso de los servicios digitales para sus operaciones cotidianas.
En virtud de estas consideraciones, desde R3D: Red en Defensa de los Derechos Digitales condenamos enérgicamente la implementación de estas medidas innecesarias, desproporcionadas y riesgosas para millones de personas en México.